HTTP Strict Transport Security, nâmı diğer HSTS, kullanıcıların internet tarayıcılarını her talep için HTTPS kullanmaya zorlayarak downgrade adı verilen saldırılara karşı çözüm üretmek ve tüm trafiğin güvenliğini sağlamak adına güzel bir çözümdür.
U.S.T.A. Eklentisi ile Oltalama Saldırılarından Korunmak
Merhaba
Ulusal Siber Tehdit Ağı ( U.S.T.A ), eskiden sızma testi ekip lideri olduğum, güzel insan Can Yıldızlı’nın kurucusu olduğu IntelRAD firması tarafından geliştirilmekte olan ve kurumların yaşadıkları siber tehditleri birbirleri ile paylaşabilme olanağının sunulduğu bir platformdur.
Bu platformun bir çok farklı modülü olsada, belkide son kullanıcıları doğrudan etkileyen özelliği oltalama bildirim servisi’dir. Bu servis temel olarak T.C vatandaşlarını hedef alan oltalama sitelerinin toplandığı bir havuzdur.
Captchasec ile Captcha Güvenlik Testi
Merhaba
Son zamanlarda gerçekleştirdiğim güvenlik testlerinin bir çoğunda captcha mekanizmaları ile ilgili talepler karşıma çıkmakta. Gelen taleplerin arasında da en çok sorulan soru şu ki ; “Captcha’mız kırılabiliyor mu ? ”
Bu soruya doğrudan cevap vermek mümkün değil. Özellikle OWASP v4 checklist’te ki bazı adımları doğrulamak gerekmekte. Bu adımlardan bir taneside captcha olarak sorulan resmin otomatize yazılımlar ( OCR ) ile çözümlenebilme oranı ile ilgili. Her testte tek tek bu hesaplamayı yapmaktan usandım ve işi otomatize etmeye karar verdim. Böylece captchasec doğmuş oldu.
Pysswords ile Parola Güvenliği
Merhaba
Öncelikle arasında çok ciddi farkların olduğu iki terime değinmek isterim; Parola ve Şifre.
şifre, okunabilir metinlerin rc5, des, idea, rsa vs. gibi algoritmalar ile geri dönüştürülebilir ya da md5, md4, ripemd-128, sha-1 vs. gibi algoritmalar ile geri dönüştürülemez hallerine denir.. aksi gerekmediği sürece binary olurlar (unix bir sistemde /etc/shadow dosyasını açarsanız içerisinde kullanıcı parolasının şifrelenmiş halini ascii olarak görebilirsiniz mesela).
parola ise, herhangi bir okunabilir, seçilmiş ve gizli tutulması gereken kelimedir (elma^, -armut-, _ismail18, p027akal, m32ha8a gibi).. parola, bakıldığında -çoğunluka- anlam ifade ederken şifre sağlıklı insanlara bir anlam ifade etmez. ayrıca “parola” olduğu gibi kullanılıp bir yerlere yazılırken, “şifre” olduğu gibi kullanılıp bir yerlere yazılmaz.
bu bağlamda kullanıcı adının “şifresi” olmaz. “parolası” olur.
Kaynak : https://eksisozluk.com/sifre-ile-parola-arasindaki-fark–1132529